SSH,SCP,rsync,sftp

1.ssh: secure shell, protocol, 22/tcp, 安全的远程登录

(1)具体的软件实现：
OpenSSH: ssh协议的开源实现，CentOS默认安装
dropbear：另一个开源实现
(2)SSH协议版本

v1: 基于CRC-32做MAC，不安全；man-in-middle
v2：双方主机协议选择安全的MAC方式
基于DH算法做密钥交换，基于RSA或DSA实现身份认证

(3)两种方式的用户登录认证：

基于password
基于key

2.Openssh软件组成

相关包：
openssh
查看：
rpm -ql openssh-clients客户端/usr/bin/ssh
rpm -ql openssh-server服务器端/usr/sbin/sshd

 工具：
基于C/S结构
Client: ssh, scp, sftp，slogin
             Windows客户端：
             xshell, putty, securecrt, sshsecureshellclient
Server: sshd

3.ssh客户端

配置文件：/etc/ssh/ssh_config
Host PATTERN
StrictHostKeyChecking no 首次登录不显示检查提示
格式：ssh [user@]host [COMMAND]
ssh [-l user] host [COMMAND]

-p port：远程服务器监听的端口
-b:指定连接的源IP(就是说你自己主机上有多个IP，用你要用的连接)
-v:调试模式
-C：压缩方式
-X: 支持x11转发，打开对方图形界面
-Y：支持信任x11转发ForwardX11Trusted yes
    (就是说如果A要连接C，但是C只能用B来连接，就可以通过B来连接C eg：A#ssh B ssh C)
ForwardX11Trusted yes
-t: 强制伪tty分配

ssh -t remoteserver1 ssh remoteserver2
允许实现对远程系统经验证地加密安全访问
ss -nt 查看

当用户远程连接ssh服务器时，会复制ssh服务器 /etc/ssh/ssh_host*key.pub（CentOS7默认是ssh_host_ecdsa_key.pub）文件中的公钥到客户机的~./ssh/know_hosts中。下次连接时，会自动匹配相应私钥 ，不能匹配，将拒绝连接

Paste_Image.png

第一次连接别的主机时，把对方的公要复制过来，然后和对方的私钥解密，所以要冒充链接要知道对方的私钥，私钥文件在/etc/ssh/ssh_host_rsa_key

Paste_Image.png

4.ssh服务登录验证

两种方式：
(1)基于用户和口令登录验证

1 客户端发起ssh请求，服务器会把自己的公钥发送给用户
2 用户会根据服务器发来的公钥对密码进行加密
3 加密后的信息回传给服务器，服务器用自己的私钥解密，如果密码正确，则用户登录成功

(2)基于密钥的登录方式

1.首先在客户端生成一对密钥（ssh-keygen）
2.并将客户端的公钥ssh-copy-id 拷贝到服务端
3.当客户端再次发送一个连接请求，包括ip、用户名
4.服务端得到客户端的请求后，会到authorized_keys中查找，如果有响应的IP和用户，就会随机生成一个字符串，例如：acdf
5.服务端将使用客户端拷贝过来的公钥进行加密，然后发送给客户端
6.得到服务端发来的消息后，客户端会使用私钥进行解密，然后将解密后的字符串发送给服务端
7.服务端接受到客户端发来的字符串后，跟之前的字符串进行对比，如果一致，就允许免密码登录

Paste_Image.png

5.基于密钥的认证：

(1) 在客户端生成密钥对

ssh-keygen -t rsa [-P ''] [-f “~/.ssh/id_rsa"]
-t 指定要用的算法 rsa/dsa
-P加口令
-f指定密钥文件路径

(2) 把公钥文件传输至远程服务器对应用户的家目录

ssh-copy-id [-i [identity_file]] [user@]host
-i指定复制的文件,生成的文件默认放在.ssh下
如果不指定复制到对方的文件，默认放在 .ssh/authorized_keys

Paste_Image.png

(3) 测试
在客户机端再用ssh连接服务器就可以不输入密码或者只用输入私钥密码

(4) 在SecureCRT或Xshell实现基于key验证

在SecureCRT工具—>创建公钥—>生成Identity.pub文件
转化为openssh兼容格式（适合SecureCRT，Xshell不需要转化
格式），并复制到需登录主机上相应文件authorized_keys中,
注意权限必须为600，在需登录的ssh主机上执行：
ssh-keygen -i -f Identity.pub >> .ssh/authorized_keys

(5)重设私钥口令：

ssh-keygen –p

Paste_Image.png

(6)验证代理（authentication agent）保密解密后的密钥

• 这样口令就只需要输入一次
• 在GNOME中，代理被自动提供给root用户
• ssh-agent bash 启动代理

(7)钥匙通过命令添加给代理

ssh-add
把口令托管给代理，以后再连接就不需要口令了，但是一注销终端，就需要重新登录

6.scp命令

scp [options] SRC... DEST/
两种方式：
scp [options] [user@]host:/sourcefile /destpath把远程主机文件复制到本地
scp [options] /sourcefile [user@]host:/destpath把本地文件复制到远程
scp不适合网站更新

常用选项：
-C: 压缩数据流
-r: 递归复制
-p: 保持原文件的属性信息
-q: 静默模式
-P PORT: 指明remote host的监听的端口

Paste_Image.png

7.rsync命令

Paste_Image.png

 基于ssh和rsh服务实现高效率的远程系统之间复制文件
 使用安全的shell连接做为传输方式
 比scp更快，只复制不同的文件,可以实现增量备份
• rsync –av /etc server1:/tmp 复制目录和目录下文件
• rsync –av /etc/ server1:/tmp 只复制目录下文件

 选项：
-n 模拟复制过程
-v 显示详细过程
-r 递归复制目录树
-p 保留权限
-t 保留时间戳
-g 保留组信息
-o 保留所有者信息
-l 将软链接文件本身进行复制（默认）
-L 将软链接文件指向的文件复制
-a 存档，相当于–rlptgoD，但不保留ACL（-A）和SELinux属性（-X）

Paste_Image.png

8.sftp命令

 交互式文件传输工具
 用法和传统的ftp工具相似
 利用ssh服务实现安全的文件上传和下载
 使用ls cd mkdir rmdir pwd get put等指令，可用？或help
获取帮助信息

sftp [user@]host
sftp> help

9.SSH端口转发

SSH 会自动加密和解密所有 SSH 客户端与服务端之间的网络数据。 但是，SSH 还能够将其他 TCP 端口的网络数据通过 SSH 链接来转发 ，并且自动提供了相应的加密及解密服务。这一过程也被叫做“隧道” （tunneling），这是因为 SSH 为其他 TCP 链接提供了一个安全的通 道来进行传输而得名。例如，Telnet，SMTP，LDAP 这些 TCP 应用均能够从中得益，避免了用户名，密码以及隐私信息的明文传输。而与此同时，如果工作环境中的防火墙限制了一些网络端口的使用，但是允许SSH 的连接，也能够通过将 TCP 端口转发来使用 SSH 进行通讯
(1)SSH 端口转发能够提供两大功能：

• 加密 SSH Client 端至 SSH Server 端之间的通讯数据
• 突破防火墙的限制完成一些之前无法建立的 TCP 连接

远程连接到本地

Paste_Image.png

(2)本地转发：

-L localport:remotehost:remotehostport sshserver

选项：
-f 后台启用
-N 不打开远程shell，处于等待状态
-g 启用网关功能

eg:
ssh –L 9527:telnetsrv:23 -N sshsrv
telnet 127.0.0.1 9527 当访问本机的9527的端口时，被加密后转发到sshsrv的ssh服务，再解密被转发到telnetsrv:23
data   localhost:9527   localhost:XXXXX  
sshsrv:22   sshsrv:YYYYY   telnetsrv:23

(3)远程转发:

-R sshserverport:remotehost:remotehostport sshserver

eg:
ssh –R 9527:telnetsrv:23 –N sshsrv
让sshsrv侦听9527端口的访问，如有访问，就加密后通过ssh
服务转发请求到本机ssh客户端，再由本机解密后转发到
telnetsrv:23
Data   sshsrv:9527   sshsrv:22  
localhost:XXXXX   localhost:YYYYY   telnetsrv:23

(3)动态端口转发：

当用firefox访问internet时，本机的1080端口做为代理服务器，firefox的访问请求被转发到
sshserver上,由sshserver替之访问internet在本机firefox设置代理socket proxy:127.0.0.1:1080

ssh -D 1080 root@sshserver

10.X 协议转发

所有图形化应用程序都是X客户程序
• 能够通过tcp/ip连接远程X服务器
• 数据没有加密机，但是它通过ssh连接隧道安全进行

ssh -X user@remotehost gedit

remotehost主机上的gedit工具，将会显示在本机的X服务器上传输的数据将通过ssh连接加密

11.ssh服务器

服务器端：sshd, 配置文件: /etc/ssh/sshd_config

 常用参数：
 Port
 ListenAddress ip
 LoginGraceTime 2m
 PermitRootLogin yes
 StrictModes yes
 MaxAuthTries 6
 MaxSessions 10 同一个连接最大会话
 PubkeyAuthentication yes
 PermitEmptyPasswords no
 PasswordAuthentication yes

 GatewayPorts no
 ClientAliveInterval(单位:秒)
 ClientAliveCountMax(默认3)
 UseDNS yes
 GSSAPIAuthentication yes 提高速度可改为no
 MaxStartups 未认证连接最大值，默认值10
 Banner /path/file

限制可登录用户的办法：

AllowUsers user1 user2 user3
DenyUsers
AllowGroups
DenyGroups

ssh服务的最佳实践

 不要使用默认端口
 禁止使用protocol version 1
 限制可登录用户
 设定空闲会话超时时长
 利用防火墙设置ssh访问策略
 仅监听特定的IP地址
 基于口令认证时，使用强密码策略
tr -dc A-Za-z0-9_ < /dev/urandom | head -c 30| xargs
 使用基于密钥的认证
 禁止使用空密码
 禁止root用户直接登录
 限制ssh的访问频度和并发在线数
 做好日志，经常分析